Mūsų svetainė naudoja slapukus. Tęsdami suteikiate mums leidimą diegti slapukus, kaip nurodyta mūsų privatumo politikoje.
Sutinku
eCom
apie mus naujienos kontaktai
1. Paskirtis, apimtis ir naudotojai
Bendrovė „ELKO Grupa“ AS, toliau vadinama „ELKO“, siekia užtikrinti, kad būtų laikomasi įstatymų ir teisės aktų, susijusių su asmens duomenų apsauga, taikytinų tose šalyse, kuriose veikia „ELKO“. Ši Politika įtvirtina bendrus principus, pagal kuriuos „ELKO“ tvarko savo klientų, tiekėjų, verslo partnerių, darbuotojų ir kitų subjektų asmens duomenis, taip pat nustato verslo skyrių ir darbuotojų atsakomybes tvarkant asmens duomenis.

Ši Politika taikoma „ELKO“, taip pat jai tiesiogiai ar netiesiogiai pavaldžių dukterinių įmonių atžvilgiu, vykdant verslo veiklą ar tvarkant duomenų subjektų asmens duomenis Europos ekonominėje erdvėje (EEE).

Šio dokumento naudotojai yra visi „ELKO“ darbuotojai, laikini ar nuolatiniai, taip pat visi pagal paslaugų sutartis samdomi asmenys, dirbantys šiai grupei.
2. Informaciniai dokumentai
  • ES BDAR 2016/679 (2016 m. balandžio 27 d. Europos Parlamento ir Tarybos Reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB)
  • Atitinkami nacionaliniai įstatymai ir teisės aktai, kuriais įgyvendinamas BDAR kiekvienoje atitinkamoje šalyje, kurioje yra atstovaujama „ELKO“
  • Darbuotojų asmens duomenų apsaugos politika
  • Duomenų saugojimo politika
  • Duomenų inventorizavimo ir tvarkymo veiklų gairės
  • Duomenų subjektų užklausų dėl duomenų pateikimo nagrinėjimo procedūra
  • Duomenų apsaugos poveikio vertinimo gairės
  • Tarpvalstybinio asmens duomenų perdavimo procedūra
  • IT saugumo politika
  • Prieigos kontrolės politika
  • IT skyriui skirtos saugumo procedūros
  • „Atsinešk savo įrenginį“ (ASĮ) politika
  • Mobiliųjų įrenginių ir nuotolinio darbo politika
  • Nuasmeninimo ir pseudonimų suteikimo politika
  • Šifravimo taikymo politika
  • Pranešimų apie pažeidimus politika
3. Apibrėžimai
Toliau pateikti sąvokų, vartojamų šiame dokumente, apibrėžimai, grindžiami Europos Sąjungos Bendrojo duomenų apsaugos reglamento 4 straipsnio apibrėžimais:

Asmens duomenys: bet kokia informacija apie nustatytos arba nustatomos tapatybės fizinį asmenį („Duomenų subjektą“), kurio tapatybę galima tiesiogiai arba netiesiogiai nustatyti, visų pirma pagal tokį identifikatorių, kaip vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius.

Jautrūs asmens duomenys: asmens duomenys, kurie pagal savo pobūdį yra ypač jautrūs pagrindinių teisių ir laisvių apsaugos požiūriu ir kurių atžvilgiu turi būti užtikrinta ypatinga apsauga, kadangi atsižvelgiant į jų tvarkymo kontekstą galėtų kilti didelis pavojus pagrindinėms teisėms ir laisvėms. Tokie asmens duomenys apima asmens duomenis, atskleidžiančius rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus ar narystę profesinėse sąjungose, genetinius duomenis, biometrinius (leidžiančius nustatyti fizinio asmens tapatybę) duomenis, sveikatos duomenis arba duomenis apie fizinio asmens lytinį gyvenimą ar lytinę orientaciją.

Duomenų valdytojas: fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri viena ar kartu su kitais nustato duomenų tvarkymo tikslus ir priemones.

Duomenų tvarkytojas: fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri duomenų valdytojo vardu tvarko asmens duomenis.

Tvarkymas: bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, pavyzdžiui rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, paieška, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas.

Nuasmeninimas: negrįžtamas asmens duomenų atsiejimas nuo asmens tokiu būdu, kad nei duomenų valdytojui, nei bet kokiam kitam asmeniui nebūtų galima nustatyti asmens tapatybės pasitelkiant protingas laiko, pinigų ar technologijų sąnaudas. Nuasmenintų duomenų atžvilgiu nebetaikomi asmens duomenų tvarkymo principai ir jie nebelaikomi asmens duomenimis.

Pseudonimų suteikimas: asmens duomenų tvarkymas taip, kad asmens duomenys nebegalėtų būti priskirti konkrečiam duomenų subjektui nesinaudojant papildoma informacija, jeigu tokia papildoma informacija yra saugoma atskirai ir jos atžvilgiu taikomos techninės bei organizacinės priemonės siekiant užtikrinti asmens duomenų nepriskyrimą fiziniam asmeniui, kurio tapatybė yra nustatyta arba kurio tapatybę galima nustatyti.
Pseudonimų suteikimas sumažina galimybes susieti asmens duomenis su duomenų subjektu, tačiau jų nepanaikina visiškai. Kadangi duomenys, kuriems priskiriami pseudonimai, vis dar yra asmens duomenys, jų tvarkymas turi būti vykdomas laikantis asmens duomenų tvarkymo principų.

Tarpvalstybinis duomenų tvarkymas: asmens duomenų tvarkymas, kuris vykdomas duomenų valdytojo arba duomenų tvarkytojo steiginių, esančių daugiau kaip vienoje Europos Sąjungos valstybėje narėje, veikloje, kai duomenų valdytojas arba duomenų tvarkytojas yra įsisteigęs daugiau kaip vienoje valstybėje narėje; arba asmens duomenų tvarkymas, kuris vykdomas duomenų valdytojo arba duomenų tvarkytojo vienintelio steiginio, esančio tik vienoje valstybėje narėje, veikloje, jeigu tas tvarkymas daro arba gali padaryti esminį poveikį duomenų subjektams daugiau nei vienoje valstybėje narėje.

Priežiūros institucija: valstybės narės pagal BDAR 51 straipsnį įsteigta nepriklausoma valdžios institucija;

Vadovaujančioji priežiūros institucija: priežiūros institucija, kurios pagrindinė paskirtis yra užsiimti tarpvalstybinio duomenų tvarkymo priežiūra, pavyzdžiui, kai duomenų subjektas pateikia skundą dėl savo asmens duomenų tvarkymo; ši institucija atsakinga, be kita ko, už pranešimų apie duomenų apsaugos pažeidimus rinkimą, taip pat informacijos apie rizikingas duomenų tvarkymo praktikas rinkimą, ji taip pat turi kompetencijos vykdant savo funkcijas, imantis veiksmų, kad būtų užtikrinamas tinkamas ES BDAR nuostatų laikymasis.

Kiekviena „vietinė priežiūros institucija“ vykdo priežiūrą savo atitinkamoje teritorijoje, stebi vietines duomenų tvarkymo veiklas, darančias poveikį duomenų subjektams ar vykdomas ES ar trečiosiose valstybėse įsikūrusių valdytojų ar tvarkytojų, kai šios veiklos daro poveikį duomenų subjektams, gyvenantiems atitinkamoje teritorijoje. Jų paskirtis ir įgaliojimai apima tyrimų atlikimą ir administracinių priemonių bei sankcijų taikymą, visuomenės informavimą apie rizikas, taisykles, saugumą ir teises, kiek tai susiję su asmens duomenų apsauga, taip pat prieigos prie duomenų valdytojo ar tvarkytojo bet kokių patalpų, įrangos ir priemonių, skirtų duomenų tvarkymui, užtikrinimą.

Pagrindinė duomenų valdytojo buveinė“ – duomenų valdytojo, turinčio buveinių daugiau kaip vienoje valstybėje narėje, atveju – jo centrinės administracijos vieta Europos Sąjungoje, išskyrus atvejus, kai sprendimai dėl asmens duomenų tvarkymo tikslų ir priemonių priimami kitoje duomenų valdytojo buveinėje Europos Sąjungoje ir ta buveinė turi įgaliojimus nurodyti, kad tokie sprendimai būtų įgyvendinti; tokiu atveju tokius sprendimus priėmusi buveinė laikoma pagrindine buveine.

Pagrindinė duomenų tvarkytojo buveinė“ – duomenų tvarkytojo, turinčio buveinių daugiau kaip vienoje valstybėje narėje, atveju – jo centrinės administracijos vieta Europos Sąjungoje, arba, jeigu duomenų tvarkytojas neturi centrinės administracijos Europos Sąjungoje, – duomenų tvarkytojo buveinė Europos Sąjungoje, kurioje vykdoma pagrindinė duomenų tvarkymo veikla, kai duomenų tvarkytojo buveinė, vykdydama savo veiklą, tvarko duomenis tiek, kad duomenų tvarkytojo atžvilgiu yra taikytinos konkrečios prievolės pagal šį reglamentą.

„ELKO“ grupė: bendrovė „ELKO Grupa“ AS ir jos dukterinės bendrovės, esančios ES ir EEE teritorijose.

Pardavimo biuras: Bet kokia „ELKO“ dukterinė bendrovė, įsikūrusi ES ir EEE teritorijose.

„ELKO“ duomenų privatumo komanda: bendrovės „ELKO Grupa“ AS apmokytų profesionalų grupė, kurios sudėtis laikas nuo laiko gali kisti, tačiau visais atvejais užtikrinama, kad jai būtų priskirti asmenys iš Teisės skyriaus ir IT skyriaus ir, kad su ja bet kuriuo metu būtų galima susisiekti el. paštu Data_Privacy@elkogroup.com.

„ELKO“ duomenų sargai: Asmenys, paskirti iš kiekvienos Europos ekonominės erdvės (EEE) šalies, kurioje yra atstovaujama „ELKO“, kas dažniausiai reiškia, kad yra priskiriami vietiniai žmogiškųjų išteklių ir IT vadybininkai, tačiau tai gali būti ir visai kitų skyrių žmonės; šie asmenys yra „ELKO“ grupės profesionalai, apmokyti asmens duomenų tvarkymo srities aukštesnio lygio mokymuose. Norėdami gauti konkrečių „ELKO“ duomenų sargų kontaktus, siųskite užklausą el. paštu Data_Privacy@elkogroup.com
4. Pagrindiniai asmens duomenų tvarkymo principai
Duomenų apsaugos principai nustato bendrąsias organizacijų, dirbančių su asmens duomenimis, atsakomybes. BDAR 5 str. 2 d. numato, jog duomenų valdytojas yra atsakingas už tai, kad būtų laikomasi duomenų apsaugos principų, ir turi sugebėti įrodyti, kad jų laikomasi (atskaitomybės principas).

4.1. Teisėtumas, sąžiningumas ir skaidrumas
Asmens duomenys turi būti tvarkomi teisėtai, sąžiningai ir skaidriai duomenų subjekto atžvilgiu.

4.2. Tikslo apibrėžtumas
Asmens duomenys turi būti renkami tik aiškiai nurodytiems, apibrėžtiems ir teisėtiems tikslams, o jų tvarkymo apimtis neturi peržengti ribų, kurias nulemia šie tikslai.

4.3. Duomenų minimalumas
Asmens duomenys turi būti tinkami, susiję su jų rinkimo tikslu ir jų turi būti renkama kuo mažiau – tik būtiniausi, reikalingi siekiant tikslų, dėl kurių jie yra tvarkomi. „ELKO“ grupė privalo, jei tai įmanoma, taikyti nuasmeninimo ar pseudonimų suteikimo priemones asmens duomenų atžvilgiu norint sumažinti rizikas, susijusias su atitinkamais duomenų subjektais.

4.4. Tikslumas
Asmens duomenys turi būti tikslūs ir prireikus nuolat atnaujinami; turi būti imamasi pagrįstų veiksmų užtikrinant, kad netikslūs asmens duomenys atsižvelgiant į jų tvarkymo tikslus būtų ištrinami arba laiku ištaisomi.

4.5. Saugojimo laiko ribotumas
Asmens duomenys turi būti saugomi ne ilgiau nei tai būtina siekiant tikslų, dėl kurių jie yra tvarkomi.

4.6. Vientisumas ir konfidencialumas
Atsižvelgdama į technologijų būklę ir turimas saugumo priemones, jų įgyvendinimo sąnaudas, taip pat į rizikų, susijusių su asmens duomenimis, tikimybę bei laipsnį, „ELKO“ grupė privalo taikyti tinkamas technines ir organizacines priemones, kurios leistų užtikrinti asmens duomenų pakankamą saugumą, įskaitant apsaugą nuo atsitiktinio ar neteisėto jų sunaikinimo, praradimo, pakeitimo, taip pat nuo neteisėtos prieigos prie jų ar jų atskleidimo.

4.7. Atskaitomybė
Duomenų valdytojai yra atsakingi už aukščiau nurodytų principų laikymąsi ir privalo gebėti įrodyti, kad jų laikomasi.
5. Duomenų apsaugos įtraukimas į verslo veiklą
Tam, kad parodytų atitiktį duomenų apsaugos principams, organizacija turėtų įtraukti duomenų apsaugos standartus į savo verslo veiklą.

5.1. Pranešimai duomenų subjektams
(žr. skyrių „Sąžiningo tvarkymo gairės“).

5.2. Duomenų subjektų pasirinkimas ir sutikimas
(žr. skyrių „Sąžiningo tvarkymo gairės“).

5.3. Rinkimas
„ELKO“ grupė turi siekti, kad būtų renkamas mažiausias įmanomas asmens duomenų kiekis. Jeigu asmens duomenys renkami iš trečiosios šalies, „ELKO“ duomenų privatumo komanda turi užtikrinti, kad asmens duomenys būtų renkami teisėtai.

5.4. Naudojimas, saugojimas ir naikinimas
Asmens duomenų rinkimo ir saugojimo tikslai, būdai, trukmė ir apribojimai turi atitikti informaciją, kuri pateikiama privatumo pranešime. „ELKO“ grupė turi užtikrinti asmens duomenų tikslumą, vientisumą, konfidencialumą ir tinkamumą, atsižvelgdama į jų tvarkymo tikslą. Turi būti taikomi tinkami tam skirti asmens duomenų apsaugos mechanizmai, kurie užtikrintų asmens duomenų apsaugą nuo vagystės, netinkamo panaudojimo ar piktnaudžiavimo jais ir nuo kitokių pažeidimų. „ELKO“ duomenų privatumo komanda yra atsakinga už šiame skyriuje numatytų reikalavimų laikymąsi.

5.5. Atskleidimas trečiosioms šalims
Visuomet, kai „ELKO“ grupė naudojasi trečiosios šalies (tiekėjo) ar verslo partnerio paslaugomis, tvarkant asmens duomenis jos naudai, „ELKO“ duomenų privatumo komanda privalo užtikrinti, kad šis tvarkytojas taikytų tinkamas duomenų apsaugos priemones, atsižvelgdamas į atitinkamas rizikas. Šiuo tikslu turi būti naudojamasi „ELKO“ duomenų tvarkytojo atitikties BDAR reikalavimams klausimynu.

„ELKO“ grupė savo sutartyse su tiekėjais ar verslo partneriais turi reikalauti iš jų tokio pat lygio duomenų apsaugos. Tiekėjas ar verslo partneris privalo tvarkyti asmens duomenis tik tiek, kiek tai reikalinga vykdyti sutartinius įsipareigojimus „ELKO“ atžvilgiu arba kitus „ELKO“ nurodymus, ir netvarkyti jų jokiais kitais tikslais. Kai „ELKO“ tvarko asmens duomenis kartu su nepriklausoma trečiąja šalimi, „ELKO“ turi aiškiai įtvirtinti savo ir trečiosios šalies atitinkamus įsipareigojimus duomenų apsaugos srityje atitinkamoje sutartyje arba kitame teisiškai privalomame dokumente, kaip numatyta, pavyzdžiui, „ELKO“ asmens duomenų tvarkymo sutarties šablone.

5.6. Tarpvalstybinis asmens duomenų perdavimas
Prieš perduodant asmens duomenis už Europos ekonominės erdvės (EEE) ribų, turi būti pritaikytos tinkamos apsaugos priemonės, įskaitant Duomenų perdavimo sutarties pasirašymą, kaip to reikalauja Europos Sąjunga, ir, jei būtina, patvirtinimo gavimą iš atitinkamos duomenų apsaugos institucijos. Subjektas, gaunantis perduodamus asmens duomenis, privalo laikytis asmens duomenų tvarkymo principų, numatytų Tarpvalstybinio duomenų perdavimo procedūroje.

5.7. Duomenų subjektų teisė gauti duomenis
Kai „ELKO“ grupė veikia kaip duomenų valdytojas, „ELKO“ duomenų privatumo komanda yra atsakinga už tai, kad būtų sukurti tinkami mechanizmai, leidžiantys duomenų subjektams gauti prieigą prie savo asmens duomenų, užtikrinant duomenų subjektų teisę atnaujinti, taisyti, ištrinti ar perduoti savo asmens duomenis, jei tai leidžiama ar to reikalaujama pagal įstatymą. Prieigos prie asmens duomenų mechanizmas išsamiau aprašomas „ELKO“ duomenų subjektų užklausų dėl duomenų pateikimo nagrinėjimo procedūroje.

5.8. Duomenų perkeliamumas
Duomenų subjektai turi teisę pagal pareikalavimą nemokamai gauti savo mums pateiktų duomenų kopiją struktūruotu pavidalu, kad būtų galima tuos duomenis persiųsti kitam duomenų valdytojui. „ELKO“ duomenų privatumo komanda yra atsakinga už tai, kad tokios užklausos būtų išnagrinėjamo ne vėliau nei per mėnesį, kad jos nebūtų perteklinės ir nedarytų įtakos kitų asmenų teisėms, susijusioms su asmens duomenų apsauga.

5.9. Teisė būti užmirštam
Duomenų subjektai, pateikę reikalavimą, turi teisę į tai, kad „ELKO“ grupė sunaikintų jos turimus asmens duomenis apie juos. Kai „ELKO“ grupė veikia kaip duomenų valdytojas, „ELKO“ duomenų privatumo komanda privalo imtis būtinų veiksmų (įskaitant technines priemones), informuodama trečiąsias šalis, naudojančias ar tvarkančias atitinkamus duomenis, apie pareigą įvykdyti duomenų subjekto reikalavimą.
6. Sąžiningo tvarkymo gairės
Asmens duomenys gali būti tvarkomi tik tokiu atveju, jeigu yra gautas aiškiai išreikštas „ELKO“ duomenų privatumo komandos patvirtinimas.

Bendrovė privalo įvertinti, ar reikalinga atlikti Duomenų apsaugos poveikio vertinimą kiekvienos atskiros duomenų tvarkymo veiklos atžvilgiu, vadovaujantis „ELKO“ duomenų inventorizavimo ir tvarkymo veiklų gairėmis.

6.1. Pranešimai duomenų subjektams
Asmens duomenų surinkimo momentu arba prieš juos surenkant bet kokio pobūdžio duomenų tvarkymo veikloms, įskaitant (bet jais neapsiribojant) prekybos gaminiais, paslaugų teikimo, rinkodaros tikslus, „ELKO“ duomenų privatumo komanda, bendradarbiaudama su „ELKO“ duomenų sargais iš atitinkamų Europos ekonominės erdvės (EEE) šalių, kuriose „ELKO“ yra atstovaujama, yra atsakinga už tai, kad duomenų subjektai būtų tinkamai informuojami apie šiuos dalykus: renkamų asmens duomenų pobūdį, duomenų tvarkymo tikslus, tvarkymo būdus, duomenų subjektų teises, susijusias su jų asmens duomenų apsauga, saugojimo laikotarpį, apie galimus tarptautinius duomenų perdavimus, jei numatoma teikti duomenis trečiosioms šalims, apie „ELKO“ grupės taikomas duomenų apsaugos priemones. Ši informacija pateikiama Privatumo pranešime.

Jei numatoma perduoti asmens duomenis trečiajai šaliai, „ELKO“ duomenų privatumo komanda privalo užtikrinti, kad duomenų subjektai būtų apie tai informuoti Privatumo pranešimu.

Jeigu numatoma perduoti asmens duomenis trečiajai valstybei pagal Tarpvalstybinio duomenų perdavimo procedūrą, ši aplinkybė turėtų atsispindėti Privatumo pranešime, aiškiai nurodant, kur ir kokiam subjektui bus perduodami asmens duomenys.

Jeigu renkami jautrūs asmens duomenys, „ELKO“ duomenų privatumo komanda privalo užtikrinti, kad Privatumo pranešime būtų aiškiai nurodytas tikslas, kuriam renkami šie jautrūs asmens duomenys.

6.2. Sutikimų gavimas
Visuomet, kai asmens duomenų tvarkymas yra grindžiamas duomenų subjekto sutikimu ar kitais teisėtais pagrindais, „ELKO“ duomenų privatumo komanda privalo išsaugoti tokio sutikimo įrodymą. „ELKO“ duomenų privatumo komanda privalo informuoti duomenų subjektus apie galimus jų pasirinkimus duodant sutikimą bei užtikrinti, kad duotas sutikimas (kai sutikimas naudojamas kaip teisėtas duomenų tvarkymo pagrindas) galėtų būti bet kada atšauktas.

Kai renkami asmens duomenys apie vaiką iki 16 m. amžiaus, „ELKO“ duomenų privatumo komanda privalo užtikrinti, kad būtų gautas išankstinis vaiko tėvų (globėjų) sutikimas dėl duomenų rinkimo pagal Tėvų (globėjų) sutikimo formą.

Gavus reikalavimą ištaisyti, pakeisti ar sunaikinti turimus asmens duomenis, „ELKO“ duomenų privatumo komanda privalo užtikrinti, kad šie reikalavimai būtų išnagrinėjami per protingą laiko tarpą. „ELKO“ duomenų privatumo komanda taip pat privalo registruoti tokius reikalavimus ir vesti jų vykdymo žiniaraštį.

Asmens duomenys gali būti tvarkomi tik tam tikslui, kuriam jie buvo surinkti jų surinkimo momentu. Jeigu bendrovė ketina tvarkyti surinktus asmens duomenis kitais tikslais, ji privalo gauti atitinkamą aiškiai išreikštą rašytinį duomenų subjektų sutikimą. Bet kokiame papildomame kreipimesi į duomenų subjektą privalo būti nurodytas pradinis duomenų rinkimo tikslas ir naujasis, papildomas tikslas ar tikslai. Kreipimesi taip pat turi būti pateikiamos priežastys, dėl kurių iškilo duomenų rinkimo tikslo ar tikslų keitimo poreikis. Duomenų apsaugos pareigūnas yra atsakingas už šioje dalyje nurodytų taisyklių laikymąsi.

Dabar ir ateityje „ELKO“ duomenų privatumo komanda privalo užtikrinti, kad duomenų rinkimo būdai atitiktų taikytiną teisę, gerąją praktiką ir atitinkamos ūkinės veiklos standartus.

„ELKO“ duomenų privatumo komanda yra atsakinga už Privatumo pranešimų registro, esančio adresu http://elkogdpr.elkogroup.com, tvarkymą.
7. Organizavimas ir atsakomybė
Atsakomybė už tinkamo asmens duomenų tvarkymo užtikrinimą tenka kiekvienam, kas dirba „ELKO“ grupės naudai ar kartu su ja ir kas turi prieigą prie „ELKO“ grupės tvarkomų asmens duomenų.

Pagrindinės asmens duomenų tvarkymo atsakomybės sritys priskiriamos šiems organizaciniams dariniams:

„ELKO“ valdyba priima sprendimus dėl bendrų, visai „ELKO“ grupei taikytinų strategijų asmens duomenų apsaugos klausimais ir jas tvirtina.

„ELKO“ duomenų privatumo komanda yra atsakinga už asmens duomenų apsaugos programos valdymą ir už visapusiškos bei efektyviai veikiančios asmens duomenų apsaugos politikos išplėtojimą ir taikymą.

„ELKO“ duomenų sargai kartu su „ELKO“ pardavimo biurų vadovais yra atsakingi už visų būtinų asmens duomenų apsaugos veiklų ir veiksmų vietinį pritaikymą ir įgyvendinimą atitinkamose Europos ekonominės erdvės (EEE) šalyse, kuriose „ELKO“ grupė yra atstovaujama per savo pardavimo biurą, vadovaujantis bendrąja „ELKO“ grupės asmens duomenų tvarkymo politika, taip pat „ELKO“ duomenų privatumo komandos nurodymais ir rekomendacijomis.

„ELKO“ centrinės būstinės teisės skyrius kartu su likusia „ELKO“ duomenų privatumo komanda yra atsakingi už:
  • Asmens duomenų teisinę apsaugą reglamentuojančių įstatymų ir kitų teisės aktų stebėseną ir analizę, atitikties jiems reikalavimų parengimą, pagalbą verslo skyriams, pastariesiems siekiant užsibrėžtų asmens duomenų apsaugos tikslų.
  • Užtikrinimą, kad asmens duomenų apsaugos reikalavimai, taikomi grupėje, būtų perkeliami į sutartis su trečiosiomis šalimis, kurios pasitelkiamos kaip išoriniai paslaugų teikėjai.
  • Atitikties asmens duomenų apsaugos reikalavimams užtikrinimo priežiūrą „ELKO“ grupės lygmeniu, kiek tai patenka į teisinio pobūdžio funkcijų apimtis.
„ELKO“ centrinės būstinės vyriausiasis technologijų pareigūnas yra atsakingas už:
  • Užtikrinimą, kad visos sistemos, paslaugos ir įranga, naudojami duomenų saugojimui, atitiktų priimtinus saugumo standartus.
  • Reguliarų patikrų ir tyrimų atlikimą, užtikrinant, kad visa apsauginės paskirties techninė ir programinė įranga veiktų tinkamai.
  • Užtikrinimą, kad taikomi asmens duomenų apsaugos reikalavimai būtų perkeliami ir taikomi bet kokių trečiųjų šalių, pasitelkiamų kaip išoriniai paslaugų teikėjai, atžvilgiu.
  • Atitikties asmens duomenų apsaugos reikalavimams užtikrinimo priežiūrą „ELKO“ grupės lygmeniu, kiek tai patenka į IT srities funkcijų apimtis.
„ELKO“ centrinės būstinės rinkodaros vadovas yra atsakingas už:
  • Bet kokių pareiškimų, susijusių su asmens duomenų apsauga ir naudojamų viešuose pranešimuose, tokiuose kaip elektroniniai laiškai ar pašto korespondencija, tvirtinimą.
  • Reagavimą į žurnalistų ir žiniasklaidos priemonių, tokių kaip laikraščiai, užklausas, susijusias su asmens duomenų apsauga.
  • Kai iškyla būtinybė, už darbą su „ELKO“ duomenų privatumo komanda, užtikrinant, kad rinkodaros iniciatyvos atitiktų duomenų apsaugos principus.
  • Užtikrinimą, kad taikomi asmens duomenų apsaugos reikalavimai būtų perkeliami ir taikomi bet kokių trečiųjų šalių, pasitelkiamų kaip išoriniai paslaugų teikėjai, atžvilgiu.
  • Atitikties asmens duomenų apsaugos reikalavimams užtikrinimo priežiūrą „ELKO“ grupės lygmeniu, kiek tai patenka į rinkodaros srities funkcijų apimtis.
„ELKO“ centrinės būstinės žmogiškųjų išteklių ir administracijos vadovas yra atsakingas už:
  • Visų darbuotojų sąmoningumo asmens duomenų apsaugos srityje kėlimą.
  • Mokymų darbuotojams, dirbantiems su asmens duomenimis, skirtų kvalifikacijos ir sąmoningumo kėlimui asmens duomenų apsaugos srityje, organizavimas bendradarbiaujant su „ELKO“ duomenų privatumo komanda.
  • Efektyvią ir visapusišką darbuotojų asmens duomenų apsaugą. Turi būti užtikrinama, kad darbuotojų asmens duomenys būtų tvarkomi tik siekiant teisėtų darbdavio verslo tikslų ir tik tiek, kiek tai būtina.
  • Užtikrinimą, kad taikomi asmens duomenų apsaugos reikalavimai būtų perkeliami ir taikomi bet kokių trečiųjų šalių, pasitelkiamų kaip išoriniai paslaugų teikėjai, atžvilgiu.
  • Atitikties asmens duomenų apsaugos reikalavimams užtikrinimo priežiūrą „ELKO“ grupės lygmeniu, kiek tai patenka į žmogiškųjų išteklių valdymo srities funkcijų apimtis.
„ELKO“ centrinės būstinės finansų vadovas yra atsakingas už:
  • Užtikrinimą, kad taikomi asmens duomenų apsaugos reikalavimai būtų perkeliami ir taikomi bet kokių trečiųjų šalių, pasitelkiamų kaip išoriniai paslaugų teikėjai, atžvilgiu.
  • Atitikties asmens duomenų apsaugos reikalavimams užtikrinimo priežiūrą „ELKO“ grupės lygmeniu, kiek tai patenka į finansų srities funkcijų apimtis
„ELKO“ centrinės būstinės logistikos vadovas yra atsakingas už:
  • Užtikrinimą, kad taikomi asmens duomenų apsaugos reikalavimai būtų perkeliami ir taikomi bet kokių trečiųjų šalių, pasitelkiamų kaip išoriniai paslaugų teikėjai, atžvilgiu.
  • Atitikties asmens duomenų apsaugos reikalavimams užtikrinimo priežiūrą „ELKO“ grupės lygmeniu, kiek tai patenka į logistikos srities funkcijų apimtis
„ELKO“ centrinės būstinės vyriausiasis komercijos vadovas yra atsakingas už:
  • Asmens duomenų apsaugos reikalavimų laikymosi užtikrinimą prekybininkų praktikoje, įskaitant prekybininkų sąmoningumo kėlimą asmens duomenų apsaugos srityje.
  • Užtikrinimą, kad taikomi asmens duomenų apsaugos reikalavimai būtų perkeliami ir taikomi bet kokių trečiųjų šalių, pasitelkiamų kaip išoriniai paslaugų teikėjai, atžvilgiu.
  • Atitikties asmens duomenų apsaugos reikalavimams užtikrinimo priežiūrą „ELKO“ grupės lygmeniu, kiek tai patenka į komercijos srities funkcijų apimtis
„ELKO“ pardavimo biuro vadovas yra atsakingas už:
  • Asmens duomenų apsaugos reikalavimų vykdymą ir priežiūrą jo atitinkamame pardavimo biure.
  • Asmens duomenų teisinę apsaugą reglamentuojančių vietinių įstatymų ir kitų teisės aktų stebėseną ir analizę atitinkamoje šalyje, atitikties jiems reikalavimų parengimą, vadovaujantis „ELKO“ bendrąja asmens duomenų apsaugos politika ir praktika bei vietiniais įstatymais ir kitais teisės aktais.
  • Užtikrinimą, kad taikomi asmens duomenų apsaugos reikalavimai būtų perkeliami ir taikomi bet kokių trečiųjų šalių, pasitelkiamų kaip išoriniai paslaugų teikėjai, atžvilgiu.
  • Asmens duomenų apsaugos reikalavimų laikymosi užtikrinimą vietinių prekybininkų (jei tokių yra) praktikoje, įskaitant vietinių prekybininkų sąmoningumo kėlimą asmens duomenų apsaugos srityje.
  • Asmens duomenų apsaugos reikalavimų laikymosi užtikrinimą santykiuose su klientais, įskaitant klientų sąmoningumo kėlimą asmens duomenų apsaugos srityje.
8. Vadovaujančiosios priežiūros institucijos nustatymo gairės
8.1. Būtinybė nustatyti vadovaujančiąją priežiūros instituciją

Nustatyti vadovaujančiąją priežiūros instituciją svarbu tik tuo atveju, jeigu bendrovė vykdo tarpvalstybinį asmens duomenų tvarkymą.

Tarpvalstybinis asmens duomenų tvarkymas atliekamas, jei:
a) asmens duomenų tvarkymą vykdo įmonės dukterinės bendrovės, įsikūrusios kitose ES valstybėse narėse,

arba

b) asmens duomenų tvarkymas vykdomas tik viename įmonės steiginyje, esančiame Europos Sąjungoje, tačiau tas tvarkymas daro arba gali padaryti esminį poveikį duomenų subjektams daugiau nei vienoje valstybėje narėje.

Jeigu įmonė turi steiginių tik vienoje valstybėje narėje ir jos vykdomas asmens duomenų tvarkymas daro poveikį tik tos valstybės narės duomenų subjektams, tuomet nereikia nustatyti vadovaujančiosios duomenų priežiūros institucijos. Vienintelė kompetentinga institucija tokiu atveju yra priežiūros institucija, veikianti toje šalyje, kurioje bendrovė yra teisėtai įsisteigusi.

8.2. Pagrindinė buveinė ir vadovaujančioji priežiūros institucija

8.2.1. Pagrindinė duomenų valdytojo buveinė
„ELKO“ valdyba turi nurodyti pagrindinę buveinę, kad būtų galima nustatyti vadovaujančiąją priežiūros instituciją.
Jeigu įmonė yra įsikūrusi ES valstybėje narėje ir sprendimai dėl tarpvalstybinio asmens duomenų perdavimo yra priimami jos centrinėje būstinėje, tuomet tokia įmonė turės tik vieną vadovaujančiąją priežiūros instituciją savo vykdomų asmens duomenų tvarkymo veiklų atžvilgiu.
Jeigu įmonė turi daugetą steiginių, veikiančių nepriklausomai ir priimančių sprendimus dėl asmens duomenų tvarkymo tikslų ir būdų, tuomet „ELKO“ valdyba turėtų pripažinti, kad egzistuoja daugiau nei viena vadovaujančioji priežiūros institucija.

8.2.2. Pagrindinė duomenų tvarkytojo buveinė
Kai įmonė veikia kaip duomenų tvarkytojas, tuomet jos pagrindinė buveinė yra centrinės administracijos būstinė. Jeigu centrinės administracijos būstinė yra ne ES teritorijoje, tuomet tokios įmonės pagrindine buveine laikoma ta buveinė, esanti Europos Sąjungoje, kurioje vykdomos pagrindinės duomenų tvarkymo veiklos.

8.2.3. Duomenų valdytojo ir tvarkytojo, kurie yra ne ES įmonės, pagrindinės buveinės
Jeigu įmonė neturi pagrindinės buveinės Europos Sąjungoje, tačiau turi vieną ar kelias dukterines bendroves Europos Sąjungoje, tuomet kompetentinga priežiūros institucija jos atžvilgiu yra vietinė priežiūros institucija.
Jeigu įmonė Europos Sąjungoje neturi nei pagrindinės buveinės, nei dukterinių bendrovių, ji privalo paskirti savo atstovą Europos Sąjungoje, tokiu atveju kompetentinga priežiūros institucija jos atžvilgiu yra tos vietos, kurioje yra įsikūręs atstovas, vietinė priežiūros institucija.
9. Atsakas į asmens duomenų apsaugos pažeidimus
Jeigu „ELKO“ gauna informacijos apie įtariamus arba įvykusius asmens duomenų apsaugos pažeidimus „ELKO“ grupėje, tuomet „ELKO“ duomenų privatumo komanda privalo atlikti vidinį patikrinimą ir imtis tinkamų pažeidimo šalinimo priemonių per protingą laiką, vadovaudamasi Pranešimų apie pažeidimus politika. Jeigu kyla kokios nors rizikos dėl duomenų subjektų teisių ir laisvių, „ELKO“ privalo informuoti atitinkamas duomenų apsaugos institucijas nedelsdama, ne vėliau nei per 72 valandas, jei tai įmanoma.
10. Auditas ir atskaitomybė
„ELKO“ duomenų privatumo komanda yra atsakinga už audito atlikimą siekiant įvertinti, kaip verslo skyriai įgyvendina šią politiką.

Bet kuris darbuotojas, pažeidęs šią politiką, bus traukiamas drausminėn atsakomybėn, taip pat jam ar jai gali kilti civilinė ar baudžiamoji atsakomybė, jeigu jo ar jos veika prieštaravo įstatymams ar kitiems galiojantiems teisės aktams.
11. Nesuderinamumas su teisės aktais
Numatoma, kad ši politika turi atitikti buveinės vietos ir valstybių, kuriose veikia „ELKO“ grupė, įstatymus ir kitus teisės aktus. Jeigu iškiltų šios politikos nesuderinamumo su taikytinais įstatymais ir kitais teisės aktais situacijos, turi būti vadovaujamasi pastaraisiais.
12. Įrašų, daromų šio dokumento pagrindu, valdymas
13. Galiojimas ir dokumento tvarkymas
Šis dokumentas galioja nuo 2018 m. gegužės 21 d.

Šio dokumento tvarkytojas yra „ELKO“ duomenų privatumo komanda, kuri privalo peržiūrėti dokumentą ir pagal poreikį jį pataisyti bent kartą per metus.